Хочу зашифровать раздел /boot с ядром и initramfs, а оставить незашифрованным лишь EFI-раздел с GRUB-ом, который и будет расшифровывать /boot. В мануалах пишут добавить в /etc/default/grub строчку GRUB_ENABLE_CRYPTODISK=y
перед генерацией /boot/grub/grub.conf командой grub-mkconfig
. Вопрос: какой в этом смысл, если конфиг GRUB'а зашифрован, и GRUB не сможет его прочитать до расшифровки?
У меня есть предположение, что эта команда изменяет не только /boot/grub/grub.conf, но и влияет на сам grubx64.efi, а сам /boot/grub/grub.conf лишь служит информацией о том, что содержит grubx64.efi внутри себя — по аналогии с линуксовым ядром и config-*, который лежит рядом. Это так?